开源风险管理正在改善,但仍是大多企业的挑战
15年来,全球许多安全、开发和法律团队依靠BlackDuck解决方案(黑鸭)帮助他们管理开源使用带来的风险。黑鸭软件组件分析解决方案和开源审计为企业提供了追踪代码中的开源,降低安全性和许可合规风险,并使用现有的DevOps工具和流程自动实施开源策略。黑鸭软件公司现在隶属新思科技。基于这些真实的数据,新思科技分析和总结出一份报告,为业界提供参考。
美国新思科技公司近日发布了《2019年开源安全和风险分析》(OSSRA)报告。该报告由新思科技网络安全研究中心(CyRC)制作,审查了由黑鸭审计服务团队执行的超过1200个商业应用程序和库的审计结果。报告重点介绍了开源应用的趋势和模式,以及不安全的开源组件和许可证冲突的普遍性。
报告显示,现在企业面临着开源应用风险管理的挑战,这些难题在过去几年就已经有苗头了。然而,数据还表明现在已经达到了一个拐点,由于风险意识和商业软件组件分析解决方案成熟度的提高,许多企业提升了其管理开源风险的能力。
新思科技网络安全研究中心首席安全策略师Tim Mackey表示:“开源在现代软件开发和部署中发挥着越来越重要的作用,但要实现其价值,企业需要从安全性和许可证合规的角度来理解和管理它如何影响其风险态势。2019年OSSRA报告提供了商业应用程序中开源风险管理的状况概览。报告表明现在仍然存在重大挑战,绝大多数的应用程序包含开源安全漏洞和许可证冲突,但同时也强调这些挑战是可以解决的,因为开源漏洞和许可证冲突的数量与去年相比有所下降。”
2019年OSSRA报告中最值得注意的开源风险趋势包括:
报告显示开源软件的使用本身并不是问题,实际上这对软件创新至关重要。但是未能积极主动地鉴别和管理任何与开源组件使用有关的安全和许可证风险,可能极具破坏性。虽然风险因素仍然存在,2019年OSSRA报告数据表明,在Equifax数据泄露之后,开源风险意识的提高和商业软件组件分析解决方案的成熟度已经取得了进展:
好文章,需要你的鼓励
Dfinity基金会发布Caffeine AI平台,通过自然语言提示创建功能完整的应用程序,旨在将全球开发者数量从5000万扩展到50亿。该平台基于区块链技术,用户可通过对话方式快速构建应用,包括博客和电商网站等。与Anthropic合作提供后端支持,挑战传统应用商店模式。
微软研究院推出SambaY架构,通过创新的门控记忆单元实现AI推理速度10倍提升。该技术采用解码器-混合-解码器设计,在数学推理等复杂任务上表现卓越,为高效AI推理开辟新方向,有望推动AI在教育、科研、医疗等领域的广泛应用。
社交媒体巨头Meta开发了一个AI模型来创造新型混凝土配方,并将其中一种应用于新数据中心的地面浇筑。该模型采用贝叶斯优化技术预测不同混凝土配比的抗压强度曲线,显著加速了传统需要数天或数周的测试过程。Meta与建筑公司Amrize和伊利诺伊大学合作,在明尼苏达州罗斯蒙特数据中心使用了这种新型低碳混凝土。该设施初期功率为10兆瓦,未来将扩展至75兆瓦。
瑞士EPFL研究团队开发的PERK方法通过参数高效的测试时学习技术,让AI能够像人类一样将长文档信息编码到专门的记忆模块中,显著提升了长上下文推理能力。该方法在多项测试中表现卓越,不仅能处理比训练时长32倍的文档,还解决了传统AI的位置偏见问题,为处理复杂长文档提供了创新解决方案。